安全公告
安全公告是报告安全漏洞信息的途径。Pub 使用 GitHub 安全公告数据库 发布 Dart 和 Flutter 包的安全公告。
要在您的 GitHub 仓库中创建公告,请使用 GitHub 的安全公告报告机制,如 GitHub 关于 创建仓库安全公告 的文档中所述。首先,您创建一个安全公告草稿,然后 GitHub 将对其进行审核并将其收录到中央公告数据库中。
pub 客户端中的安全公告
#pub 客户端在依赖项解析时显示安全公告。例如,运行 dart pub get 时,您将获得以下输出:
$ dart pub get
正在解析依赖项...
http 0.13.0(受公告影响:[ ^0],可用版本 1.2.0)
已获取依赖项!
依赖项受安全公告影响:
[^0]: https://github.com/advisories/GHSA-4rgh-jx4f-qfcq如果解析确定存在公告,Dart 团队建议您访问链接并查看公告。如果您评估该漏洞会影响您的包,则应强烈考虑升级到不受影响的依赖项版本。
忽略安全公告
#如果安全公告与您的应用程序无关,您可以通过将公告标识符添加到包的 pubspec.yaml 文件中的 ignored_advisories 列表来抑制警告。例如,以下内容忽略了具有 GHSA 标识符 GHSA-4rgh-jx4f-qfcq 的公告:
yaml
name: myapp
dependencies:
foo: ^1.0.0
ignored_advisories:
- GHSA-4rgh-jx4f-qfcqignored_advisories 列表仅影响根包。依赖项中被忽略的公告不会对您自己包的包解析产生任何影响。
除非另有说明,否则本网站上的文档反映的是 Dart 3.6.0。页面最后更新于 2025-02-05。 查看源代码 或 报告问题.